V květnu 2018 nabylo účinnosti obecné nařízení o ochraně osobních údajů (GDPR), které upravuje všechny podstatné aspekty ochrany osobních údajů. Zásadní změnu v chápání údajů a práv s nimi spojených sice GDPR nepřineslo, avšak přimělo společnost a firmy zpracovávající osobní údaje více si problematiky všímat a důkladněji dbát na zabezpečení osobních dat.

Definice osobního údaje je značně široká, protože jím je každá informace, na základě které lze identifikovat fyzickou osobu (člověka), jež se v terminologii GDPR nazývá subjekt údajů. „Osobním údajem tak je jméno a příjmení, adresa, datum narození i rodné číslo, ale také síťový identifikátor (IP adresa) nebo fotografie, pokud z ní lze určit vyfocenou osobu,“ vyjmenovává Eduarda Hekšová, ředitelka spotřebitelské organizace dTest. A dodává: „Rozhodovací praxe soudů již dříve zařadila mezi osobní údaje také mobilní číslo či e-mailovou adresu, protože umožňují se s jejich držitelem spojit v reálném čase, což je základní cesta, jak se někomu dostat do soukromí.“

Podobně široce je definováno také zpracování osobních údajů. Jedná se o jakoukoliv operaci s osobními údaji – počínaje zaznamenáním, přes uložení, až po jejich zničení. Cílem takto obsáhlých vymezení je chránit osobní údaje občanů Evropské unie v co největší možné míře. K tomu přispívá také to, že se unijním pravidlům musejí přizpůsobit i společnosti, které sice mají sídlo mimo EU, avšak zpracovávají údaje na jejím území. Zpracování provádí správce, případně jej může svěřit zpracovateli.

Osobní údaje musejí být zabezpečeny přiměřeně k rozsahu a rizikovosti zpracování. Pekař na rohu zaměstnávající dva pomocníky toho bude mít k zabezpečení méně než společnost provozující internetovou platební bránu a rizika budou také nesouměřitelná. Podle toho je nutné zvolit přiměřené prostředky ochrany: v prvním případě stačí uzamčená skříň se šanony a zaheslovaný počítač s nainstalovaným antivirem, ve druhém případě se společnost neobejde bez nákladného šifrovacího systému.